Les enjeux de sécurité liés à l'effacement des données des appareils numériques en fin de vie ou qui vont être revendus sont primordiaux. Les menaces potentielles sont importantes, du vol d’identité par la récupération des données personnelles comme les noms, adresses, numéros de téléphone ou informations bancaires qui peuvent être utilisés frauduleusement à nos dépens. L’espionnage industriel dont on parle moins et qui se traduit par la vol de données confidentielles de l’entreprise contenues dans les smartphones ou ordinateurs des collaborateurs est également un danger dont les conséquences peuvent s’avérer catastrophique, parfois pour tout un secteur d’activité. Bien sur, l’atteinte à la vie privée, par le détournement de photos ou vidéos ou encore des messages personnels peuvent être utilisés à des fins malveillantes.
Le marché de la seconde main, entre autre, est très exposé à ces risques de piraterie et la confiance des clients qui revendent leur appareils numériques repose sur la certitude q’un effacement total des données sera bien effectué et que les données qui pourraient être encore contenues ne seront pas exploitées. Pour éviter ces risques, il est important de procéder à un effacement sécurisé des données contenues dans les appareils numériques en fin de vie ou qui vont être revendus. Cela peut passer par l'utilisation de logiciels spécialisés, la destruction physique par broyage des supports de stockage ou le recours à des prestataires spécialisés dans l'effacement de données. Mais que valent vraiment toutes ces techniques ?
La réinitialisation d’un smartphone en mode usine est-elle suffisante ?
Peut être avez vous cédé ou revendu votre téléphone et avez été confronté a devoir effacer son contenu. Que votre téléphone fonctionne avec Android ou iOs, il est possible de réinitialiser votre appareil en mode usine et au terme du processus, le système vous avertit que tout sera effacé et irrécupérable….vraiment ? Que vaut cette réinitialisation en mode usine ? Permet-elle d’effacer totalement les données sensibles contenues dans l’appareil ?
Il y a dix ans, en 2014, des universitaires de l’université de Cambridge ont réalisé une étude* sur l’efficacité d’une réinitialisation d’usine d’un téléphone fonctionnant sous Android. L’étude a montré que malgré l’effacement en mode usine proposé par Android il était possible de retrouver sur des partitions des mémoires, des données personnelles comme des photos, vidéos et même des mots de passe. On peut légitimement se dire que depuis 2014 les systèmes d’exploitation de nos smartphones ont progressé et il est vrai que Google (Android) et Apple (iOS) ont travaillé à leur sécurisation de l’effacement des données mais il reste toujours possible de récupérer des données stockées sur la mémoire flash après effacement. Il est extrêmement compliqué de tout effacer et il est également extrêmement compliqué, et c’est rassurant, de récupérer ces données après effacement. Alors faut-il vraiment s’inquiéter ? Dans un sens, oui car on peut se dire qu’un jour un hacker de bon niveau et opiniâtre qui vous en veut, serait capable de retrouver certaines de vos données personnelles et globalement non, car il est reste très compliqué de retrouver ces données…mais possible.
Google, depuis la version 9.0 de son système d’exploitation encrypte, avec un système nommé FBE (file based encryption), de manière autonome chaque fichier de votre smartphone, rendant sa lecture encore plus compliquée mais toujours pas impossible…
Les différents logiciels d’effacement (Blancco, Ontrak…) utilisés par l’industrie du reconditionnement offrent des solutions qui restent satisfaisantes en matière de sécurité. Cependant ces logiciels ne sont pas efficaces si l’appareil n’est pas fonctionnel car ils ont besoin de dialoguer avec le système d’exploitation. Ce qui fait un gros trou dans la raquette en matière de sécurité quand on imagine le nombre d’appareils numériques non fonctionnels et la quantité quasi in-chiffrable mais gigantesque de données personnelles qu’ils contiennent et qui se retrouvent ainsi dans la nature.
Pourquoi est-ce si compliqué de tout effacer ?
Il faut imaginer un disque dur que l’on pourrait comparer à un livre ou chaque fichier est un nouveau chapitre. En cherchant à le supprimer le fichier n’est pas vraiment effacé mais c’est son chemin d’accès par la table des matières qui l’est. La disparition de l’indication du fichier permet au disque dur de considérer l’espace comme vide et ne sera pas capable de vous indiquer où il se trouve mais il est toujours là, bien présent. De même qu’il existe des logiciels d’effacement, il existe aussi des logiciels de récupération après effacement. Par exemple le logiciel PhotoRec vous permet de retrouver des photos effacées par erreur…ou pas. La seule façon d’être certain de ne plus retrouver des fichiers après effacement est de ré-écrire sur le disque dur. Ainsi, petit à petit le nouveau contenu vient ré-écrire sur l’ancien contenu, l’écrasant de façon définitive.Quels risques l’effacement des données représente-t-il pour l’industrie du reconditionnement ?
Les risques pour le marché de la reprise de téléphones liés à l'enjeu de sécurité de l'effacement des données sont multiples et peuvent avoir des conséquences importantes sur la confiance des consommateurs et la réputation des acteurs du marché. Tout d'abord, si des données personnelles ou confidentielles sont récupérées sur des téléphones revendus, cela peut entraîner des atteintes à la vie privée ou des vols d’identité (comme expliqué plus haut), ce qui peut nuire à la confiance des consommateurs à revendre leur téléphone.Enfin, les acteurs du marché du reconditionnement sont soucieux de la sécurité des informations des produits qu’ils traitent. Si certains ne respectaient pas les bonnes pratiques en matière d'effacement sécurisé des données ils pourraient être tenus pour responsables en cas de fuite de données et encourir des sanctions pénales ou financières, ce qui pourrait nuire à leur réputation et à leur activité. Pour éviter ces risques, les reconditionneurs mettent en place des processus d’effacement suffisamment sécurisés des données conformes aux normes et aux bonnes pratiques en vigueur. La plupart communiquent clairement sur les processus d’effacement auprès de leurs clients.
Existe-t-il un moyen qui garantisse un effacement total des données ?
La seule manière qui existait jusqu’à présent consistait à littéralement broyé les composants électroniques pour éliminer les informations sensibles. Pas très académique mais ultra efficace. Cependant une fois broyé un smartphone ne pourrait en aucun cas retrouvé une deuxième vie et il faut gérer les déchets. Ce sont généralement des grandes entreprises, institutions, gouvernements, armées qui ont recours au broyage. On peut facilement imaginer le gâchis que cela représente. Justement, nous avons rencontré Lionel Uzzan créateur d’Erase4Good qui nous dévoile une véritable innovation sur le marché de l’effacement sécurisé des données.Recontre avec Lionel Uzzan, créateur de la solution d’effacement Erase4Good
V2M : A quoi sert et comment se présente la solution Erase4Good ?Erase4good est la 1ère solution d’effacement total de données par action hardware. À la grande différence des services existants, qui ont besoin que l’appareil soit fonctionnel pour procéder à l’effacement, notre solution permet un effacement intégral de tout type de produit embarquant une mémoire SSD et que le produit soit fonctionnel ou non. Erase4Good est une machine dans laquelle est inséré le produit puis le traitement commence. Deux types d’effacement sont possibles ; - le 1er appelé "reset" qui dure quelques minutes et qui implique une réinstallation d’un système d’exploitation permettant au produit d’être ré-utilisé immédiatement ; le deuxième type d’effacement s’adresse à des entreprises qui ont à gérer des données sensibles et qui veulent s’assurer que toutes leur données auront bien été effacées. Ce traitement est plus long car c’est un effacement total et aucune information ne pourra être récupérée. Le procédé remet à zéro les cellules mémoires (techniquement elles sont remises à 1). En résumé dans les 2 cas, l'effacement est non destructif. Cela contribue à diminuer le broyage de disque dur et de permettre le ré-emploi du produit. L’impact environnemental est double tout en diminuant les déchets à gérer et en favorisant le ré-emploi.
V2M : Que valent alors les services software qui proposent un effacement dit 100% et en quoi Erase4Good est-il différent ? On peut traiter tout type de produit qui comprend une carte mémoire et surtout qu’il soit fonctionnel ou non. Les autres services d’effacement on besoin d’un l’appareil en service car ils utilisent le système d’exploitation. S’il est hors service, le logiciel ne peut agir alors les données restent stockées et accessibles ce qui représente une vulnérabilité numérique. Notre système garantit un effacement des données dans toutes les situations de fonctionnalité et sans utiliser le système d’exploitation de l’appareil. La seule solution permettant de tels résultats ne pouvait être qu’hardware et c’est ce qui fait notre principale innovation sur ce marché sensible de l’effacement de données.
V2M : Quelles ont été vos motivations pour la création d’erase4good ? Principalement la demande du marché. C’est en discutant avec des distributeurs, industriels dont la gestion de l’effacement des données est une priorité compliquée à gérer. Faute de pouvoir s’assurer d’un effacement total et définitif, les entreprises utilisent de coûteux circuits de recyclage. C’est donc la demande du marché qui nous a motivé à développer cette solution. Nous répondons en tout premier lieu à un marché d’entreprises soucieuses des informations sensibles qu’elles manipulent et en quête de solution alternative au broyage physique des mémoires SSD.
Sources : Article Randroid du 26 mai 2015
